Was ist AWS IAM?

Question

Was ist AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) kontrolliert **wer was** in AWS tun kann — verwaltet Benutzer, Gruppen, Rollen und Berechtigungen. Es ist fundamental für die AWS-Sicherheit: Jede Aktion wird durch IAM autorisiert, daher ist das Verständnis dafür essentiell.

## Was IAM verwaltet

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policies — Berechtigungen definieren

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Policies (JSON) spezifizieren **welche Aktionen** auf **welchen Ressourcen** erlaubt/verboten sind — werden Benutzern, Gruppen oder Rollen zugeordnet, um Berechtigungen zu gewähren.

## Rollen — temporäre Credentials (sehr wichtig)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Best Practices

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Warum es wichtig ist

Das Verständnis von IAM ist essentiell, weil es die Grundlage der AWS-Sicherheit bildet — jede Aktion in AWS wird durch IAM autorisiert, daher ist es fundamental und unverzichtbares Wissen für die sichere Arbeit mit AWS.

IAM kontrolliert **wer was tun kann** durch seine Kernkomponenten: **Benutzer** (Identitäten mit Credentials), **Gruppen** (zur kollektiven Verwaltung von Berechtigungen), **Rollen** (temporär angenommene Identitäten) und **Policies** (JSON-Dokumente, die Berechtigungen definieren).

Das Verständnis von **Policies** (spezifiziert, welche Aktionen auf welchen Ressourcen erlaubt sind) ist notwendig, um Berechtigungen korrekt zu gewähren und zu verstehen.

Das Verständnis von **Rollen** ist besonders wichtig: Sie bieten **temporäre Credentials ohne langlebige Keys**, ermöglichen EC2-Instanzen, Lambda-Funktionen und andere Services, sicher auf AWS-Ressourcen zuzugreifen **ohne Access Keys einzubetten** — eine kritische Sicherheits-Best-Practice, die das ernsthafte Risiko von hardcodierten Credentials vermeidet.

Das Verständnis der **Best Practices** — besonders **least privilege** (nur die tatsächlich benötigten Berechtigungen gewähren, nicht breiter Admin-Zugriff, um den Blast-Radius eines Kompromisses zu begrenzen), Verwendung von Rollen für Anwendungen, Aktivierung von MFA und Schutz des Root-Accounts — ist essentiell für AWS-Sicherheit, da IAM-Fehlkonfigurationen (zu breite Berechtigungen, geleakte Credentials) eine häufige Quelle von Sicherheitsvorfällen sind.

Da IAM der Gatekeeper für den gesamten AWS-Zugriff ist und die korrekte Konfiguration fundamental für Sicherheit ist (während eine falsche Konfiguration zu schweren Verstößen führt), und da das Verständnis von Benutzern, Rollen, Policies und Best Practices wie least privilege essentiell für die sichere Arbeit mit AWS ist, ist das Verständnis von IAM essentiell, grundlegendes AWS-Wissen — ein kritisches Sicherheitsthema, das jeder AWS-Benutzer verstehen muss, zentral für die sichere Nutzung von AWS und zur Vermeidung der Zugriffskontroll-Fehler, die zu echten Sicherheitsvorfällen führen.